Sorry, this functionality is only available for verified hoteliers

The project dashboard is a free tool that is only available to verified hoteliers to make adopting new technology easier by streamlining their research and simplifying their communication workflow.

3 minuten gelesen

MGM-Hack: So verringern Sie das Cyber-Risiko, indem Sie mehr über den Angriff erfahren

Avatar

Jordan M Hollander in Operationen

Zuletzt aktualisiert September 14, 2023

Bildbeschreibung

Die Ransomware-Gruppe ALPHV/BlackCat hat die Verantwortung für einen Cyberangriff auf MGM Resorts, eine der weltweit größten Casino-Hotelketten, übernommen. Der Verstoß begann Berichten zufolge auf LinkedIn und hatte schwerwiegende Auswirkungen auf den Betrieb von MGM und betraf berühmte Casino-Hotels wie das Bellagio, Mandalay Bay und das Cosmopolitan. Der Angriff störte elektronische Zahlungen, digitale Schlüsselkarten, Spielautomaten, Geldautomaten und gebührenpflichtige Parksysteme. Die Ransomware-Gruppe ALPHV, auch bekannt als BlackCat, führte den Angriff aus, indem sie einen MGM-IT-Supportmitarbeiter auf LinkedIn identifizierte und dann den MGM-Helpdesk kontaktierte. Der gesamte Angriff dauerte etwa 10 Minuten. Die finanziellen Auswirkungen dieses Verstoßes für MGM sind erheblich, da allein ihre Liegenschaften am Las Vegas Strip einen Tagesumsatz von über 13 Millionen US-Dollar erwirtschaften.

What Exactly Happened that Caused the MGM Hack?

Bei MGM Resorts kam es zu einer erheblichen Cybersicherheitsverletzung, als Angreifer über einen Helpdesk-Anruf eine Phishing-Technik nutzten. Der Vorfall verdeutlicht die dringende Notwendigkeit einer besseren Schulung der Mitarbeiter im Umgang mit E-Mails und Telefonanrufen. Als Folge des Verstoßes kam es bei MGM zu schwerwiegenden Störungen, wobei sich die Malware schnell auf allen Systemen verbreitete und zu einer vollständigen Abschaltung führte. Große Cybersicherheitsfirmen, wie der Branchenriese CrowdStrike, legen Wert auf regelmäßige, oft monatliche Schulungen für Nicht-Sicherheitspersonal, um solche Vorfälle zu verhindern, aber Hotelorganisationen können solch strenge Schulungsprotokolle anbieten oder auch nicht. Die Angreifer nutzten Social Engineering und brachten Mitarbeiter dazu, während eines Anrufs schädliche E-Mail-Anhänge zu öffnen. Diese Methode ist neben der Erstellung von Viren ein beliebtes Werkzeug von Hackern. Sobald der schädliche Anhang, bei dem es sich um eine PDF-Datei, eine Excel-Datei oder ein anderes Format handeln kann, geöffnet wird, wird die Malware aktiviert. Anschließend sucht es nach offenen, gemeinsam genutzten Netzwerken, injiziert sich in verschiedene Prozesse und breitet sich auf andere Maschinen aus. Die Geschwindigkeit dieser Ausbreitung ist alarmierend und kann innerhalb von Sekunden bis zu 100.000 Computer betreffen.

„Jährliche Social-Engineering- und Phishing-Schulungen für Mitarbeiter sind der Schutzschild, der die digitale Festung vieler Unternehmen sicher hält und Teams in verschiedenen Abteilungen in die Lage versetzt, die sich ständig weiterentwickelnden Taktiken von Cyber-Bedrohungen zu erkennen und zu vereiteln, bleibt jeden Tag wichtig“, sagt Ryan , Senior Security Researcher bei CrowdStrike Cornateanu .

Important Takeaways that Hoteliers Must Understand

Der jüngste Cyberangriff auf MGM Resorts unterstreicht die schwerwiegenden Schwachstellen, mit denen selbst große Unternehmen im heutigen digitalen Zeitalter konfrontiert sind. Die Tatsache, dass der Verstoß von einer so alltäglichen Plattform wie LinkedIn ausging, ist eine deutliche Erinnerung an die Gefahren, die mit der übermäßigen Weitergabe beruflicher Daten im Internet einhergehen. Dabei geht es nicht nur um die unmittelbaren finanziellen Auswirkungen, auch wenn diese erheblich sind. Da allein die MGM-Immobilien in Las Vegas täglich über 13 Millionen US-Dollar einbringen, sind die wirtschaftlichen Folgen eines solchen Angriffs erschütternd. Aber über die materiellen Verluste hinaus gibt es auch den immateriellen Schaden, den es zu berücksichtigen gilt. Die Beeinträchtigung des Rufs von MGM, insbesondere bei Kunden, deren Traumerlebnisse in Las Vegas getrübt wurden, ist ein Schlag, von dem es Jahre dauern könnte, bis er sich wieder erholt. Dieser Vorfall sollte für Hoteliers auf der ganzen Welt ein Weckruf sein und ihnen die überragende Bedeutung robuster Cybersicherheitsmaßnahmen und die möglichen langfristigen Folgen etwaiger Versäumnisse bewusst machen.

  1. Die Macht des Social Engineering : Der Ursprung des Angriffs von einer Plattform wie LinkedIn verdeutlicht die potenziellen Risiken einer übermäßigen Weitergabe beruflicher Daten im Internet. Wie können sich Einzelpersonen und Unternehmen besser vor solchen Schwachstellen schützen?

  2. Wirtschaftliche Auswirkungen : Da die MGM-Immobilien in Las Vegas täglich über 13 Millionen US-Dollar erwirtschaften, sind die finanziellen Auswirkungen eines solchen Angriffs immens. Welchen Einfluss wird dieser Vorfall auf die Cybersicherheitsinvestitionen anderer großer Unternehmen haben?

  3. Reputation auf dem Spiel : Wie könnte sich dieser Cyberangriff über die unmittelbaren finanziellen Verluste hinaus auf den langfristigen Ruf von MGM auswirken, insbesondere wenn man bedenkt, dass Kunden ihr einmaliges Vegas-Erlebnis möglicherweise ruiniert haben?

Erhalten Sie einmal pro Woche die neuesten Hotel-Tech-Tipps, Trends und Erkenntnisse in Ihren Posteingang
Sie wurden abonniert
ungültiges Email-Format
post_faces_combined Schließen Sie sich über 100.000 Führungskräften weltweit führender Hotelmarken an und erhalten Sie einmal pro Woche die neuesten Erkenntnisse in Ihren Posteingang.

What is Social Engineering and How Can Hotels Protect Employees and Guests?

Im Kontext der Cybersicherheit bezeichnet Social Engineering die Manipulation von Personen, damit diese bestimmte Aktionen ausführen oder vertrauliche Informationen preisgeben. Anstatt Software- oder Hardware-Schwachstellen auszunutzen, zielen Social-Engineering-Angriffe auf menschliche Schwächen ab. Das Ziel besteht darin, Einzelpersonen dazu zu verleiten, vertrauliche Informationen preiszugeben, Zugang zu Sperrbereichen zu gewähren oder Aktionen auszuführen, die die Sicherheit gefährden würden.

Es gibt verschiedene Formen von Social-Engineering-Angriffen, darunter:

  1. Phishing : Dies ist eine der häufigsten Formen des Social Engineering. Angreifer versenden betrügerische E-Mails, Nachrichten oder Websites, die legitim erscheinen, um Opfer zur Angabe sensibler Daten wie Anmeldedaten oder Kreditkartennummern zu verleiten.
  2. Vorwand : Hierbei fabriziert der Angreifer ein Szenario (oder einen Vorwand), um Informationen von einem Opfer zu erhalten. Beispielsweise könnten sie sich als Bankvertreter ausgeben und nach Kontodaten fragen, mit dem Vorwand, diese zu Verifizierungszwecken zu benötigen.
  3. Ködern : Hierbei wird dem Opfer etwas Verlockendes angeboten, beispielsweise kostenlose Software, um es zum Herunterladen schädlicher Software zu verleiten.
  4. Tailgating oder Piggybacking : Bei dieser Methode sucht ein Angreifer ohne ordnungsgemäße Authentifizierung Zutritt zu einem Sperrbereich, indem er einer autorisierten Person genau folgt. Beispielsweise könnten sie direkt hinter einem Mitarbeiter, der Zutritt hat, ein sicheres Gebäude betreten.
  5. Quiz : Angreifer nutzen Quiz oder Umfragen in sozialen Medien, um Benutzer zur Preisgabe persönlicher Informationen zu verleiten.
  6. Vishing : Ähnlich wie Phishing, wird jedoch über das Telefon durchgeführt. Der Angreifer könnte sich als Bankvertreter, Steuerbeamter oder Mitarbeiter des technischen Supports ausgeben, um dem Opfer vertrauliche Informationen zu entlocken.

Der Erfolg von Social-Engineering-Angriffen hängt stark von der Fähigkeit des Angreifers ab, menschliche Emotionen wie Angst, Neugier oder den Wunsch zu helfen zu manipulieren. Da diese Angriffe auf menschliches Verhalten abzielen, sind kontinuierliche Aufklärung und Sensibilisierungsschulung von entscheidender Bedeutung, um Einzelpersonen dabei zu helfen, solche manipulativen Taktiken zu erkennen und ihnen zu widerstehen.

Every Hotel Should Offer Regular Trainings and Ask Tech Vendors About their Cyber Protocols

Als Hauptziele von Cyber-Bedrohungen müssen Hotels der Sicherheit ihrer digitalen Infrastruktur und der Ausbildung ihres Personals Priorität einräumen. Eine der effektivsten Maßnahmen besteht darin, den Mitarbeitern regelmäßige Schulungen anzubieten, um sicherzustellen, dass sie mit der Erkennung und Abwehr potenzieller Bedrohungen wie Phishing-E-Mails oder verdächtiger Online-Aktivitäten bestens vertraut sind. Durch die Förderung einer Kultur des Cybersicherheitsbewusstseins können Hotels das Risiko menschlicher Fehler, die oft das schwächste Glied in der Sicherheitskette darstellen, erheblich reduzieren. Darüber hinaus stellt die Zusammenarbeit mit Softwareanbietern, die stark in Cybersicherheit investiert haben, sicher, dass die digitalen Systeme des Hotels mit den neuesten Sicherheitsprotokollen ausgestattet sind. Solche Anbieter bringen Fachwissen, modernste Technologie und kontinuierliche Updates mit und bieten so eine zusätzliche Verteidigungsebene gegen die sich ständig weiterentwickelnde Landschaft von Cyber-Bedrohungen.

Das könnte Ihnen auch gefallen
ChatGPT Hotel Ads: They're Here and OTAs Already Have First-Mover Advantage Marketing ChatGPT-Hotelanzeigen: Sie sind da und Online-Reisebüros haben bereits einen Wettbewerbsvorteil.

vor 1 Monat

The Best Hotel Tech Apps of 2026 Gästeerlebnis Die besten Hotel-Tech-Apps des Jahres 2026

vor 4 Monaten

The 10 Best Places to Work in Hotel Tech 2026 Operationen Die 10 besten Arbeitgeber im Bereich Hoteltechnologie 2026

vor 4 Monaten

HITEC Indianapolis 2025 Innovation Report Gästeerlebnis HITEC Indianapolis 2025 Innovationsbericht

vor 11 Monaten

Erhalten Sie personalisierte Produktempfehlungen

Berater für Produktempfehlungen

Ghostel icon

Lassen Sie uns Ihre Hotelinformationen nachschlagen